论文部分内容阅读
【摘要】随着网络技术的飞速发展,如何应对日益增加的网络安全威胁已成为网络安全防护体系建设的重点,本文以采用IPS系统为核心构建了本单位的主动入侵防护系统。主动入侵防护系统的成功应用,解决了在网络安全方面的病毒攻击、流量控制、主动安全防护、安全隐患消除等问题。
【关键词】网络安全;IPS;构建;应用
【中图分类号】TP393.08
【文献标识码】A
【文章编号】1672—5158(2012)10-0102-01
1、建设背景
随着信息化建设的发展,网络越来越庞大,承载的应用系统也越来越复杂,随之而来的网络安全风险也日益突出。尤其混合威胁的风险,如蠕虫、病毒、木马、僵尸程序、DDoS攻击阻塞甚至中断网络,各类P2P应用轻易的占据100%的网络上行下行带宽,同时,随之而来的修复工作使IT管理人员被迫充当“消防队员”的角色,消耗了大量宝贵的人力资源;如何构建主动的网络安全防护系统,对网络进行流量控制及净化,实时了解网络运维情况,及时发现消除网络安全隐患,督促提高用户安全意识等问题,成为网络安全面临的最大挑战。
通常在谈到网络安全时,首先会想到“防火墙”,一般采用防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足安全需要,部署了防火墙的安全保障体系仍需要进一步完善。
2、部署情况
系统部署情况:在单位内网一外网出口及地州广域网出口处在线部署网络入侵保护系统。网络入侵保护系统具有防火墙功能提供边界控制、安全域划分,防护来自其他安全域的攻击;网络入侵保护系统可以实时拦截进出网络的数据流量中各种类型的恶意攻击流量,把攻击防御在受保护网络之外,实现内网访问控制细粒度管理,净化网络流量,保护内网的信息资产及网络性能。同时,考虑网络冗余,提高可用性,系统具有BYPASS功能,支持失效开放(Fail-open)机制,当出现软件故障、硬件故障、电源故障时,系统自动切换到直通状态以保障网络可用性,避免单点故障。
该系统具有4个100/1000M自适应以太网口,可用于2路IPS保护或1路IPS保护+2路IDS监听,这样外网广域网的出口都将得到有效的保护及监控,并且另外2个空闲网口目前可用于管理通讯。将来可通过升级证书而不用更新硬件,IPS升级为6口3路IPS保护以满足将来网络扩展。在线部署的IPS在链路上实时捕捉数据包,根据网络的自身特点设置合理有效的访问控制、流量管理、行为管理策略和入侵保护模式,进行入侵行为检测、分析和实时响应,自动阻断攻击,净化网络流量,消除安全隐患,使用一种产品就达到多重保护目的,大大地节约了投资,并切实有效地保护网络的安全。
同时,在安全管控中心服务器上安装网络入侵保护系统控制台程序,实现对IPS等安全系统的集中管理,该系统同时支持C/S和B/S模式,可以灵活方便的管理部署在内网中的网络入侵保护系统。系统支持“集中+分布式”部署管理IPS,保证了今后可在全省范围实现既可统一、又可分级管理的主动入侵防护系统,使系统具有可扩展性、可充分利用现有资源、可随需而变的灵活管理方式。
3、应用情况
通过部署网络入侵保护系统,本单位网络安全状况得到了显著的提高、网络性能得到明显改善、发现及加固了网络安全的薄弱环节、规范了用户上网行为、加强了用户安全意识,主动入侵防护系统达到了预期的应用效果。
3.1 在构建主动的网络安全防护系统方面
在部署初期,当时IPS系统平均每天可发现及阻断各种攻击事件655次/天。部署半年以后,通过IPS发现及整改了各种网络安全问题规范了网络行为,平均每天可发现及阻断各种攻击事件减少到60次/天。主动安全防护系统的成功构建使本单位网络攻击事件减少了10倍。
3.2 在对网络进行流量控制及净化方面
通过在IPS上设置阻断“蠕虫事件”“拒绝服务类攻击事件”策略,结合对每个IP限制“P2P类应用”分配100kbps带宽的限流策略,原来严重影响单位网络性能的攻击流量、P2P应用流量得到了有效的阻断及控制,净化了网络流量,保障了网络性能。
3.3 在辅助网络运维管理方面
通过IPS系统可实时了解当前网络的流量情况、协议构成、应用状况等,为网络运维提供参考及决策依据。
3.4 在及时发现消除网络安全隐患方面
IPS上线部署后立即发现了感染“震荡波”蠕虫病毒的客户端,为管理员定位了蠕虫病毒源;随后IPS又发现了感染“熊猫烧香”病毒的客户端;管理员依靠IPS阻断了蠕虫病毒的攻击及传播,保护了网络,依据IPS日志报警信息定位了染毒客户端,并进一步清除病毒修补客户端漏洞,消除了网络安全隐患。
根据IPS日志报警信息,发现了1台网络设备采用明文telnet方式管理并使用了弱口令,管理员及时整改,将设备登录管理方式配置为加密的SSH,配置了访问控制策略账号安全策略,并设置了强壮的口令,大幅提升了网络设备管理的安全性。
根据IPS日志报警信息还发现了,某网管平台管理部分网络设备时使用了SNMP默认的public口令,即相应的被管理网络设备存在“SNMP默认共同体串信息泄露漏洞”,管理员依据此信息定位了存在“SNMP默认共同体串信息泄露漏洞”的网络设备,并根据IPS知识库建议进行了整改,为所有采用SNMP管理的网络设备配置了强壮的口令,并严格限制了SNMP写权限,消除了网络安全隐患,提升了网络安全管理水平。
3.5 在督促提高用户安全意识方面
IPS系统还帮助管理员发现了用户的各种弱口令、空口令,管理员据此向相关用户提出了账号、口令安全建议,并对用户进行了安全培训,有效地督促用户提高安全意识,系统上线半年后本单位用户安全意识得到了明显提高,本网用户使用弱口令、空口令现象基本消除。
4、应用效果及效益
通过部署主动入侵防护系统,有效地防护了应用层、内容层的各种攻击,实现了智能、自动化的安全防御,提升了单位整体的网络安全水平,有效保障网络系统7x24不间断运行,减轻IT管理人员的工作压力,提高了网络运维的工作效率,降低了整体的安全费用,弥补了目前安全设备(防火墙、入侵检测等)对攻击防护能力的不足;同时,保证合法流量的正常传输,对于保障关键业务系统的运行连续性和完整性有着极为重要的意义。为网络提供“虚拟补丁”:IPS预先、自动拦截蠕虫、网络病毒、黑客攻击、DDoS等恶意流量,使攻击无法到达目的主机,这样即使没有及时安装最新的安全补丁,系统仍然不会受到损失。IPS给存在漏洞的系统提供了时间缓冲,在厂商就新漏洞提供补丁和更新之前确保网络的安全。阻止来自外部或内部的数千种蠕虫、病毒和黑客攻击等的威胁,确保信息资产的安全。IPS提供对面向应用层和内容层的网络内容安全防护,可以检测并阻断间谍软件、木马后门,并可以对即时通讯软件,在线视频等的内容进行监控及阻断。提供了“反间谍”能力,及时发现并阻断间谍软件的活动,保护数据安全。防止机密数据被窃取,防止用户账号及隐私数据被盗,避免系统和个人因间谍软件蒙受重大损失。提供“流量净化”,为网络加速,构造—个干净、可用的网络环境。实时保障网络系统7x24不间断运行,提高整体的网络安全水平。实现智能、自动化的安全防御,降低整体的安全费用,减轻网管人员的工作压力,提高网络运维的工作效率。实现高效、全面的流量监控、事件统计,能迅速定位网络故障,提高网络稳定运行时间。
【关键词】网络安全;IPS;构建;应用
【中图分类号】TP393.08
【文献标识码】A
【文章编号】1672—5158(2012)10-0102-01
1、建设背景
随着信息化建设的发展,网络越来越庞大,承载的应用系统也越来越复杂,随之而来的网络安全风险也日益突出。尤其混合威胁的风险,如蠕虫、病毒、木马、僵尸程序、DDoS攻击阻塞甚至中断网络,各类P2P应用轻易的占据100%的网络上行下行带宽,同时,随之而来的修复工作使IT管理人员被迫充当“消防队员”的角色,消耗了大量宝贵的人力资源;如何构建主动的网络安全防护系统,对网络进行流量控制及净化,实时了解网络运维情况,及时发现消除网络安全隐患,督促提高用户安全意识等问题,成为网络安全面临的最大挑战。
通常在谈到网络安全时,首先会想到“防火墙”,一般采用防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足安全需要,部署了防火墙的安全保障体系仍需要进一步完善。
2、部署情况
系统部署情况:在单位内网一外网出口及地州广域网出口处在线部署网络入侵保护系统。网络入侵保护系统具有防火墙功能提供边界控制、安全域划分,防护来自其他安全域的攻击;网络入侵保护系统可以实时拦截进出网络的数据流量中各种类型的恶意攻击流量,把攻击防御在受保护网络之外,实现内网访问控制细粒度管理,净化网络流量,保护内网的信息资产及网络性能。同时,考虑网络冗余,提高可用性,系统具有BYPASS功能,支持失效开放(Fail-open)机制,当出现软件故障、硬件故障、电源故障时,系统自动切换到直通状态以保障网络可用性,避免单点故障。
该系统具有4个100/1000M自适应以太网口,可用于2路IPS保护或1路IPS保护+2路IDS监听,这样外网广域网的出口都将得到有效的保护及监控,并且另外2个空闲网口目前可用于管理通讯。将来可通过升级证书而不用更新硬件,IPS升级为6口3路IPS保护以满足将来网络扩展。在线部署的IPS在链路上实时捕捉数据包,根据网络的自身特点设置合理有效的访问控制、流量管理、行为管理策略和入侵保护模式,进行入侵行为检测、分析和实时响应,自动阻断攻击,净化网络流量,消除安全隐患,使用一种产品就达到多重保护目的,大大地节约了投资,并切实有效地保护网络的安全。
同时,在安全管控中心服务器上安装网络入侵保护系统控制台程序,实现对IPS等安全系统的集中管理,该系统同时支持C/S和B/S模式,可以灵活方便的管理部署在内网中的网络入侵保护系统。系统支持“集中+分布式”部署管理IPS,保证了今后可在全省范围实现既可统一、又可分级管理的主动入侵防护系统,使系统具有可扩展性、可充分利用现有资源、可随需而变的灵活管理方式。
3、应用情况
通过部署网络入侵保护系统,本单位网络安全状况得到了显著的提高、网络性能得到明显改善、发现及加固了网络安全的薄弱环节、规范了用户上网行为、加强了用户安全意识,主动入侵防护系统达到了预期的应用效果。
3.1 在构建主动的网络安全防护系统方面
在部署初期,当时IPS系统平均每天可发现及阻断各种攻击事件655次/天。部署半年以后,通过IPS发现及整改了各种网络安全问题规范了网络行为,平均每天可发现及阻断各种攻击事件减少到60次/天。主动安全防护系统的成功构建使本单位网络攻击事件减少了10倍。
3.2 在对网络进行流量控制及净化方面
通过在IPS上设置阻断“蠕虫事件”“拒绝服务类攻击事件”策略,结合对每个IP限制“P2P类应用”分配100kbps带宽的限流策略,原来严重影响单位网络性能的攻击流量、P2P应用流量得到了有效的阻断及控制,净化了网络流量,保障了网络性能。
3.3 在辅助网络运维管理方面
通过IPS系统可实时了解当前网络的流量情况、协议构成、应用状况等,为网络运维提供参考及决策依据。
3.4 在及时发现消除网络安全隐患方面
IPS上线部署后立即发现了感染“震荡波”蠕虫病毒的客户端,为管理员定位了蠕虫病毒源;随后IPS又发现了感染“熊猫烧香”病毒的客户端;管理员依靠IPS阻断了蠕虫病毒的攻击及传播,保护了网络,依据IPS日志报警信息定位了染毒客户端,并进一步清除病毒修补客户端漏洞,消除了网络安全隐患。
根据IPS日志报警信息,发现了1台网络设备采用明文telnet方式管理并使用了弱口令,管理员及时整改,将设备登录管理方式配置为加密的SSH,配置了访问控制策略账号安全策略,并设置了强壮的口令,大幅提升了网络设备管理的安全性。
根据IPS日志报警信息还发现了,某网管平台管理部分网络设备时使用了SNMP默认的public口令,即相应的被管理网络设备存在“SNMP默认共同体串信息泄露漏洞”,管理员依据此信息定位了存在“SNMP默认共同体串信息泄露漏洞”的网络设备,并根据IPS知识库建议进行了整改,为所有采用SNMP管理的网络设备配置了强壮的口令,并严格限制了SNMP写权限,消除了网络安全隐患,提升了网络安全管理水平。
3.5 在督促提高用户安全意识方面
IPS系统还帮助管理员发现了用户的各种弱口令、空口令,管理员据此向相关用户提出了账号、口令安全建议,并对用户进行了安全培训,有效地督促用户提高安全意识,系统上线半年后本单位用户安全意识得到了明显提高,本网用户使用弱口令、空口令现象基本消除。
4、应用效果及效益
通过部署主动入侵防护系统,有效地防护了应用层、内容层的各种攻击,实现了智能、自动化的安全防御,提升了单位整体的网络安全水平,有效保障网络系统7x24不间断运行,减轻IT管理人员的工作压力,提高了网络运维的工作效率,降低了整体的安全费用,弥补了目前安全设备(防火墙、入侵检测等)对攻击防护能力的不足;同时,保证合法流量的正常传输,对于保障关键业务系统的运行连续性和完整性有着极为重要的意义。为网络提供“虚拟补丁”:IPS预先、自动拦截蠕虫、网络病毒、黑客攻击、DDoS等恶意流量,使攻击无法到达目的主机,这样即使没有及时安装最新的安全补丁,系统仍然不会受到损失。IPS给存在漏洞的系统提供了时间缓冲,在厂商就新漏洞提供补丁和更新之前确保网络的安全。阻止来自外部或内部的数千种蠕虫、病毒和黑客攻击等的威胁,确保信息资产的安全。IPS提供对面向应用层和内容层的网络内容安全防护,可以检测并阻断间谍软件、木马后门,并可以对即时通讯软件,在线视频等的内容进行监控及阻断。提供了“反间谍”能力,及时发现并阻断间谍软件的活动,保护数据安全。防止机密数据被窃取,防止用户账号及隐私数据被盗,避免系统和个人因间谍软件蒙受重大损失。提供“流量净化”,为网络加速,构造—个干净、可用的网络环境。实时保障网络系统7x24不间断运行,提高整体的网络安全水平。实现智能、自动化的安全防御,降低整体的安全费用,减轻网管人员的工作压力,提高网络运维的工作效率。实现高效、全面的流量监控、事件统计,能迅速定位网络故障,提高网络稳定运行时间。